Le bogue de Safari peut divulguer l’activité de navigation et l’identité de l’utilisateur, selon le rapport

Un bogue du navigateur Safari 15 permet à n’importe quel site Web de suivre l’activité en ligne d’un utilisateur et potentiellement de révéler son identité, selon les chercheurs de FingerprintJS.

« Malheureusement, » La société a déclaré dans un messageLes utilisateurs de Safari, iPadOS et iOS ne peuvent pas faire grand-chose pour se protéger sans prendre de mesures drastiques. Une option pourrait être de bloquer tout JavaScript par défaut et de ne l’autoriser que sur des sites de confiance. Cela rend la navigation Web moderne peu pratique et peut ne pas être une solution. Bon pour tout le monde.

De plus, des vulnérabilités telles que les scripts intersites permettent également de cibler via des sites de confiance, même si le risque est beaucoup plus faible. Une autre alternative pour les utilisateurs de Safari sur Mac consiste à passer temporairement à un autre navigateur.

Cependant, ce n’est pas une option dans iOS et iPadOS car tous les navigateurs sont concernés, les utilisateurs de ces plates-formes doivent donc attendre qu’Apple publie un correctif.

Le mode privé de Safari 15 est également affecté par la fuite, indique le rapport. Alors que la navigation dans les fenêtres privées de Safari est limitée à un onglet, ce qui réduit la quantité d’informations disponibles via la fuite, si l’utilisateur visite plusieurs sites Web différents sous le même onglet, toutes les bases de données avec lesquelles ces sites interagissent sont divulguées à tous les sites Web qui ont été le visiter plus tard.

Le problème vient de l’API IndexedDB qui permet à n’importe quel site Web de suivre l’activité des utilisateurs sur Internet. Le rapport note qu’IndexedDB est une API de navigateur de stockage côté client conçue pour contenir de grandes quantités de données. Il est pris en charge dans tous les navigateurs principaux et populaires. Étant donné qu’IndexedDB est une API de bas niveau, de nombreux développeurs choisissent d’utiliser des wrappers qui suppriment la plupart des aspects techniques et fournissent une API plus facile à utiliser et plus conviviale pour les développeurs.

DB de séquences indexées même politique d’origine, Mécanisme de sécurité de base qui limite la manière dont les documents ou les scripts chargés à partir d’une origine interagissent avec les ressources d’autres origines. L’origine est déterminée par le système (protocole), le nom d’hôte (domaine) et le port de l’URL utilisée pour y accéder. Le rapport indique que les bases de données indexées sont liées à un actif spécifique. Les documents ou scripts liés à différents actifs ne doivent jamais avoir la capacité d’interagir avec des bases de données liées à d’autres actifs.

Cependant, selon les chercheurs, dans Safari 15 sur macOS et dans tous les navigateurs sur iOS et iPadOS 15, l’API IndexedDB viole la même politique de source. Chaque fois qu’un site Web interagit avec une base de données, une nouvelle base de données (vide) portant le même nom est créée dans toutes les autres fenêtres, onglets et fenêtres actifs de la même session de navigateur. Les fenêtres et les onglets partagent généralement la même session, à moins que vous ne passiez à un autre profil dans Chrome, par exemple, ou que vous n’ouvriez une fenêtre privée.

« Le fait que les noms de bases de données fuient à travers différentes origines est une violation manifeste de la vie privée », déclarent les chercheurs. « Il permet aux sites Web aléatoires de savoir quels sites Web l’utilisateur visite dans différents onglets ou fenêtres. Cela est possible car les noms de base de données sont généralement uniques et spécifiques au site Web. De plus, nous avons remarqué que dans certains cas, les sites Web utilisent des identifiants uniques spécifiques à l’utilisateur dans la base de données. Cela signifie que les utilisateurs authentifiés peuvent être identifiés de manière unique et précise.

« Cela signifie que les utilisateurs authentifiés peuvent être identifiés de manière unique et précise. Des exemples courants sont YouTube, Google Calendar ou Google Keep. Tous ces sites Web créent des bases de données qui incluent l’identifiant d’utilisateur Google authentifié et si l’utilisateur est connecté à plusieurs comptes, des bases de données sont créées pour tous ces comptes.